Security 如何最小化登录脚本攻击

我马上就开始讨论这个问题。 假设我的网站具有登录功能，并且拥有大量用户。 我正在进行登录脚本攻击，黑客有“用户名”和“密码”列表（假设他是从其他地方获得的），他正在我的网站上运行，以查看这些信息是否有效。 我有一个监控工具/应用程序来捕获相同的IP地址是否试图在“y”时间内尝试“x”数量的登录，并且它成功地检测到属于这些类别的攻击。然而，这也有局限性，因为我无法想出所有可能的案例，我觉得不可能阻止他们进行这种类型的攻击。 我很好奇像亚马逊或其他巨头这样的其他公司是如何处理此类攻击的

---

提前谢谢

他们应用各种技术来确定登录是否由人完成，这就是所谓的

例如，如果用户在固定的时间段内尝试了太多登录尝试，许多网站会将其锁定。这意味着，如果它是一个机器人，它以后的登录尝试将被忽略。这方面的一个变化是随着登录尝试次数的增加而增加锁定时间

在Ticketmaster等网站中使用

---

不幸的是，像这样的暴力攻击已经成为现实。

它们应用各种技术来确定登录是否是由人类完成的，这称为

例如，如果用户在固定的时间段内尝试了太多登录尝试，许多网站会将其锁定。这意味着，如果它是一个机器人，它以后的登录尝试将被忽略。这方面的一个变化是随着登录尝试次数的增加而增加锁定时间

在Ticketmaster等网站中使用

---

不幸的是，像这样的暴力攻击已经成为现实。

我说的是许多不同的“用户名”和“密码”设置。所以黑客会尝试每个用户名一次，然后移动到下一个，以此类推。如果每个用户名只有一次登录尝试，那么IP监控就是最好的工具。我说的是许多不同的“用户名”和“密码”设置。因此，黑客会尝试每个用户名一次，然后移动到下一个，以此类推。如果每个用户名只有一次登录尝试，您的IP监控是实现这一点的最佳工具。一旦出现一定数量的登录尝试失败，无论IP地址如何，您都可以向帐户提供验证码。这很烦人，所以我建议不要这样做。如果用户使用愚蠢的密码，你没有责任完全保护他们免受这样的攻击。没有一个正确的解决方案来阻止这个问题。但是，你可以尝试减缓这种行为，直到黑客完成目标的时间太长，他对此感到厌倦为止。@ZippyV：如果有人真的想攻击你的网站，他们可能不会只使用一个机器人。一旦出现一定数量的登录失败尝试，你可以向帐户提供验证码，不管IP地址如何。这很烦人，所以我建议不要这样做。如果用户使用愚蠢的密码，你没有责任完全保护他们免受这样的攻击。没有一个正确的解决方案来阻止这个问题。但是，你可以尝试减缓这种行为，直到黑客完成目标的时间太长，他对此感到厌倦为止。@ZippyV：如果有人真的想攻击你的网站，他们可能不会只使用一个机器人。